Mittels Phishing, Spionagesoftware oder durch Einbrüche in Serversysteme gestohlene Zugangsdaten stellen aktuell eines der Haupteinfallstore in die Computersysteme von Organisationen dar.
Wie an der Uni Bonn entwickelte Warndienste helfen, effektiv Accountübernahmen durch Kriminelle zu verhindern, diskutieren wir mit Prof. Dr. Michael Meier, Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn.
Prof. Dr. Michael Meier
Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn
Ein gehackter Firmenaccount kann ein Einfallstor in die gesamte IT-Infrastruktur des betroffenen Unternehmens sein.
Wie können gestohlene Zugangsdaten potenziell von Cyberkriminellen genutzt werden, um sensible Informationen zu gefährden?
Sobald ein Krimineller die Zugangsdaten zu einem Account in der Hand hat, ist er in der Lage, diesen Account zu übernehmen. Welche Informationen dabei ausgelesen werden können, hängt stark von der Art des übernommenen Accounts ab. Wird das Kundenkonto eines Online-Shops übernommen, können Bankdaten wie die IBAN, die Adresse des Kunden, aber auch das Kaufverhalten ausgelesen werden, was wiederum viel über persönliche Vorlieben oder aber auch den Gesundheitszustand verraten kann. Noch kritischer kann es werden, wenn ein Mitarbeiterkonto übernommen wird. In diesem Fall können auch sensible Unternehmensdaten wie Mitarbeiterdaten oder technische Betriebsgeheimnisse ausgelesen werden.
Welche Auswirkungen können gestohlene Zugangsdaten auf die Sicherheit und den Betrieb eines Unternehmens haben?
Ein gehackter Firmenaccount kann ein Einfallstor in die gesamte IT-Infrastruktur des betroffenen Unternehmens sein. Im produzierenden Gewerbe können so beispielsweise Maschinen online abgeschaltet werden, so dass die gesamte Produktion brach liegt. Um die Firmen-IT wieder freizuschalten, fordern Kriminelle in solchen Fällen meist Lösegeld von den Unternehmen. Betroffen sind Unternehmen aller Art, zunehmend auch mittelständische Betriebe wie Automobilzulieferer oder auch Molkereien.
Welche Schritte können Unternehmen ergreifen, um sich vor den Bedrohungen durch gestohlene Zugangsdaten und Identitätsdiebstahl zu schützen?
Es gibt verschiedene Möglichkeiten sich zu schützen. Es sollte jedoch immer beachtet werden, dass es keine Garantie für einen absoluten Schutz gibt. Eine gute erste Maßnahme, um sich vor Accountübernahmen zu schützen, ist die Einrichtung einer Multi-FaktorAuthentifizierung (MFA). Der stärkste Faktor in einer MFA ist jedoch immer noch das eigene Passwort. Um festzustellen, ob das Passwort noch sicher ist oder bereits in einem Dataleak auftaucht, gibt es für den Endverbraucher Möglichkeiten, mit denen man feststellen kann, ob Anmeldedaten abgeflossen sind, wie zum Beispiel den kostenlosen Leakchecker der Uni Bonn (https://leakchecker.uni-bonn.de), den ich selbst mitbetreue. Mittlerweile haben wir aber auch Dienste entwickelt, mit denen Unternehmen sehr einfach feststellen können, ob Zugangsdaten von eigenen Mitarbeitern oder Kunden in Datenleaks auftauchen. In diesen Fällen können Unternehmen jeweils geeignete Maßnahmen ergreifen und diese Einfallstore für Hacker schließen.
Welche rechtlichen und finanziellen Konsequenzen können für ein Unternehmen entstehen, wenn gestohlene Zugangsdaten zu Datenschutzverletzungen oder Sicherheitsverletzungen führen?
In Bezug auf die rechtlichen Konsequenzen ist die Datenschutz-Grundverordnung (DSGVO) in diesem Punkt sehr strikt. Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, Maßnahmen zum Schutz dieser Daten zu ergreifen (Art. 32). Bei Nichteinhaltung kann das Unternehmen mit bis zu 2% des weltweiten Jahresumsatzes oder bis zu 10 Millionen Euro Bußgeld belangt werden. Bestimmte Unternehmen, wie z. B. Online-Shops, müssen aber auch direkt andere finanzielle Konsequenzen fürchten. Waren, die über ein übernommenes Konto bestellt wurden, werden in der Regel einfach abgeschrieben, ähnlich wie Ladendiebstahl im Einzelhandel. Dabei beläuft sich der Schaden durch Accountübernahmen im E-Commerce in Deutschland im Jahr 2020 auf knapp 1,4 Milliarden Euro. Diese Zahl verdeutlicht das enorme Schadenspotenzial allein durch Accountübernahmen, welche durch den Einsatz der von uns entwickelten Dienste drastisch reduziert werden kann.